【web-代码审计】(14.1)代码审查方法

最新推荐文章于 2024-05-28 15:45:33 发布
最新推荐文章于 2024-05-28 15:45:33 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: 0X02【web渗透】 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/126664257
版权

目录

一、代码审计

1.1、简介:

二、代码审查方法

2.1、简介:

2.2、黑盒、白盒测试

简述:

2.3、代码审查方法

简述:

一、代码审计

1.1、简介:

审查源代码有助于渗透测试员攻击目标Web应用程序,示例:

1、一些应用程序为开源应用程序,或使用开源组件,允许从相关资料库中下载它们的源代码,并从中寻找漏洞

2、如果在提供咨询服务时执行渗透测试,应用程序所有者可能会允许查看应用程序的源代码,以提环审计的效率

3、可能在应用程序中发现允许下载其源代码的文件泄露漏洞

4、大多数应用程序使用某种客户端代码(如JavaScript,不需要任何权限即可访问它)

二、代码审查方法

2.1、简介:

代码审查的方法很多,这些方法有助于提高在有限的时间内发现安全漏洞的效率。此外还可以将代码审查与其他测试方法结合起来充分利用每种方法的优势

2.2、黑盒、白盒测试

简述:

1、白盒代码审查可非常高效地发现应用程序中存在的漏洞,在审查源代码的过程中, 我们常常可以迅速确定仅使用黑盒技巧很难或需要很长时间才能发现的漏洞。例如,通过阅读代码可迅速确定一个可访问任何用户账户的后门密码,但使用密码猜测攻击几乎不可能发现这个密码

2、但代码审查并不能完全替代黑盒测试,从某种程度上讲,应用程序中的全部漏洞都存在于源代码中,理论上,通过代码审查可以确定所有这些漏洞。但使用黑盒”方法可以更迅速、高效地发现许多漏洞。如使用自动化模糊测试技巧,每分钟可以向一个应用程序发送数百个测试字符串,它们将迅速分散到所有相关代码路径中,并立即返回响应。另外通过向每个字段发送常见漏洞的触发器,常常可以在几分钟内确定大量通过代码审查需要数天才能发现的漏洞。且许多企业级应用程序的结构极其复杂,对用户提交的输入进行多层处理。同时应用程序在每一个层面实施不同的控制与检查,一段源代码中的明显漏洞可能会被其他地方的代码完全消除

3、大多数情况下,黑盒与白盒可以相互补充,通过代码审查初步查明一个漏洞后,再在一个正在运行的应用程序中对其进行测试,是确定该漏洞是否真实存在的最简单、最有效的方法。相反在一个正在运行的应用程序中确定某种反常行为后,审查相关源代码往往是确定其根本原因的最佳途径。因此如有可能,应适当结合使用黑盒与白盒,并根据实时测试过程中应用程序的反常行为、源代码的大小与复杂程度调整在每种技巧上投入的时间与精力

2.3、代码审查方法

简述:

1、任何功能比较强大的应用程序都可能包含成千上万行源代码,许多情况下审查代码时间有限,可能仅有几天时间。因此有效代码审查的一个关键目标是,在有限的时间与精力条件下,确定尽可能多的安全漏洞。为了实现这个目标,有必要采用一种结构化的方法,使用各种技巧确保迅速确定源代码中存在的明显漏洞,为探查更微妙、更难发现的漏洞争取更多时间

2、当审查Web应用程序源代码时, 使用三重查找方法可迅速高效地确定其中存在的漏洞。这种方法由以下3个步骤组成

A、从进入点开始追踪用户向应用程序提交的数据,审查负责处理这些数据的代码

B、在代码中搜索表示存在常见漏洞的签名,并审查这些签名,确定某个漏洞是否确实存在

C、对内在危险的代码进行逐行审查,理解应用程序的逻辑,并确定其中存在的所有问题,需要进行仔细审查的功能组件包括:应用程序中的关键安全机制(验证、会话管理、访问控制与任何应用程序范围内的输入确认)、外部组件接口、以及任何使用本地代码(通常为C/C++)的情况

3、首先分析各种常见的Web应用程序漏洞在源代码中的各种表现形式,以及当进行代码审查时如何以最简单的方式确定这些表现形式,这将有助于在代码中搜索漏洞签名[2步]和仔细审查危险的代码[3步]

4、然后依次分析一些最流行的Web开发语言,确定应用程序如何获得用户提交的数据(通过请求参数、cookie值)、它如何与用户进行会话交互、每种语言中存在潜在危险的API以及每种语言的配置与环境对应用程序安全的影响,这将有助于从进入点开始追踪用户向应用程序提交的数据[1步],并为其他步骤提供每种语言的参考

【web源码-代码审计方法】审计技巧及审计工具icon-default.png?t=M7J4https://blog.csdn.net/qq_53079406/article/details/125586594?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522166210609616782248583738%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=166210609616782248583738&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-4-125586594-null-null.nonecase&utm_term=%E6%BA%90%E7%A0%81&spm=1018.2226.3001.4450

黑色地带(崛起)
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
代码安全审查
09-05
关于代码审查的书籍,对企业如何将开发过程和代码安全审查进行结合,代码安全审查流程、常见安全漏洞形成原因等进行详细的说明。
信息安全技术 代码安全审计规范.docx
04-22
本标准规定了源代码安全审计过程及方法,描述了软件源代码安全弱点的典型审计指标。本标准的审计活动主要对象是源代码,主要针对于源代码层面的安全问题,不包含需求分析、设计、测试、部署配置、运维等方面的安全问题。本标准审计的源代码对象不针对特定语言。
总结常见漏洞的代码审计方法
最新发布
2401_84466361的博客
05-28 1184
这篇文章主要是总结一下在安全工作中常见漏洞的代码审计方法,以及修复方案,希望能对初学代码审计小伙伴们有所帮助,笔芯♥️。
代码审查(Code Review)
夕刃的博客
04-10 7631
1. 代码审查概述 1.1 什么是代码审查 ​ 对计算机源代码系统化地审查,常用软件同行评审的方式进行,其目的是在找出及修正在软件开发初期未发现的错误,提升软件质量及开发者的技术 1.2 为什么要代码审查 可以帮助提高代码质量:代码审查的初衷是为了发现代码的问题并且修正,让系统的缺陷更少,更加容易维护 上下文共享:方便团队协作,使不熟悉该模块的团队成员对模块有一定了解 帮助新人快速融入项目 帮助开发人员成长 帮助影响力的建设 ​ 但是虽然代码审查有着很多的好处,但是不是所有的团队都会进
代码安全审计规范
Robin.Wang Tech Blog
09-07 334
一种以发现代码安全缺陷和违反代码安全规范为目标的安全性分析。
代码审计总结
热门推荐
m0_48907714的博客
04-29 1万+
代码审计流程、代码审计流程、代码审计实操、代码审计提升
WEB攻防-JS审计技巧
qq_29948489的博客
07-10 255
1、作用域:(本地&全局)简单来说就是运行后相关的数据值2、调用堆栈:(由下到上)简单来说就是代码的执行逻辑顺序3、常见分析调试:-代码全局搜索-文件流程断点-代码标签断点-XHR提交断点edgefirefox4、为什么要学这个?-针对JS开发应用-密码登录枚举爆破-参数提交漏洞检测-泄漏URL有更多测试js加密,发到服务器,然后进行相关的解密,在处理数据。服务器收到的不是加密内容,直接就不执行了。所以要找到对应的JS加密。
Redis-x64-5.0.14.1.msi
11-20
Redis-x64-5.0.14.1.msi Redis-x64-5.0.14.1.msi Redis-x64-5.0.14.1.msi
Redis-x64-5.0.14.1
03-01
windows版本 , Redis-x64 版本号:5.0.14.1
Redis-x64-5.0.14.1.zip
06-12
一个存储型数据库,用来进行大型程序开发的数据存储,下载好文件压缩包,解压好之后,先点击redis-server.exe文件,再点击redis-cli.exe文件即可启动。
Redis-x64-5.0.14.1 for Windows
06-20
之前项目中要使用window下的redis。找了好久都只有Redis-x64-3.2.100的,后来发现有更高...这里附件里面包括Redis-x64-5.0.14.1 for Windows版本 与及 原始下载地址。如果有新的版本的话,可以到在原始下载地址找到。
作为开发人员,这四类Code Review方法你都知道吗?
08-15 2447
本文翻译自:https://dzone.com/articles/4-types-of-code-reviews-any-professional-developer 转载请注明出处:葡萄城官网,葡萄城为开发者提供专业的开发工具、解决方案和服务,赋能开发者。 没有人能保证他产出的代码一定是完美的。下文阐述了4种主流的代码审查(code review)类型,相信作为专业的开发人...
代码审查:不只是找Bug,更是团队合作的桥梁
林木森的博客
04-15 1156
​ 每个团队都有自己的代码规范,有自己的基于架构设计的开发规范,然而时间一长,就会发现代码中出现很多不遵 守代码规范的情况,有很多绕过架构设计的代码。对于代码质量来说,很多问题通过测试是测试不出来的,只能通过代码审查。比如说代码的可读性可维护性,比如代码的结构,比如一些特定条件才触发的死循环、逻辑算法错误,还有一些安全上的漏洞也更容易通过代码审查发现和预防。代码审查,就是一个很好的知识共享的方式。通过代码审查,高手可以直接指出新手代码中的问题,新手可以马上从高手的反馈中学习到好的实践,得到更快的成长。
如何代码审查
好奇宝宝的博客
07-30 2725
代码审查概述 什么是代码审查? 软件同行评审 为什么要代码审查 提高代码质量 上下文共享 新人快速融入项目 协助开发人员快速成长 代码审查频率 集中式 异步式 代码审查流程 范根检查法 结对编程 同步代码审查 异步代码审查 代码审查工具 git gerrit upsource gitlab github Checklist 编码风格 命名风格 不以下划线或者美元符号开头或者结束 类名UpperCamelCase 方法、参数名、变量等统一采用 lowerCamelCase 风格 常量命名使用
代码审查
手写我对你的温柔
03-26 1273
代码审查: 一种有效帮助提升代码质量的有效途径。 代码审查3W(what why when) 常见的代码审查工具 代码审查流程 1.代码审查3W(what why when): 代码审查:对计算机源代码系统化的审查,常用软件同行评审的方式进行,目的是找出及修正在软件开发初期未发现的错误,提升软件质量及开发者的技术。 1.1 why: 帮助提升代码质量、上下文共享、帮助新人快速融入项目...
关于代码审查的一些思考
专栏
04-07 1139
审查代码时,我们通常的评审维度主要包括如下几个方面: 1、代码功能是否完善 2、代码结构是否合理,是否符合规范的编码方式,例如国内的话是否符合阿里java开发手册中的代码规范 3、代码是否充分复用,是否具备良好的扩展性 4、代码的命名是否规范,方法命名、变量命名是否体现了其对应的功能含义 5、在性能上是否能够继续优化,如果是O(n^2)的复杂度是否能优化成O(n)的复杂度 6、在内存占用上是否还能进一步压缩 7、在时间和空间二者之间的利弊权衡 8、复杂代码逻辑是否有对应的注释,注释是否清楚
基于GitLab如何代码审查
weixin_45853716的博客
06-06 6129
在团队小组代码开发过程中经常要代码审查工作,我们如何基于GitLab代码审查呢?
关于代码评审(CodeReview)那些不得不说的事儿
weixin_46837985的博客
07-12 1625
作者:xindoohttps://segmentfault.com/a/1190000041885333什么是CodeReviewCodeReview 国内也称「代码评审或者代码审查」,也简称CR,是指在软件开发过程中,工程师对其他人所写代码审阅(后文统称CodeReview),以达到控制代码质量的目的。通常的流程都是由代码写作者发起,请团队内其他人审阅代码,其他人对代...
代码审查那些事
嵌入式系统程序员
01-03 1033
代码审查(code review)是指对源代码进行系统化地审查,是软件开发中的最佳实践之一,代码合并之前必须审查通过才行,可及时发现隐藏问题,提高代码质量。
libselinux-2.5-14.1
01-24
libselinux-2.5-14.1是一个软件库版本,它是SElinux(Security-Enhanced Linux)项目的一部分。SElinux是一个开源的安全机制,通过强制访问控制机制,增加了Linux系统的安全性。 libselinux-2.5-14.1主要功能是提供SElinux的核心功能和API,这些API允许开发人员在应用程序中实现访问控制策略,以保护系统和应用程序免受恶意操作和攻击。 SElinux的特点是基于访问控制策略实施最小权限原则,它通过对用户、对象和操作进行标记来控制和限制系统资源的访问。这种标记使得系统具有更高的安全性,即使发生漏洞或攻击,也可以防止恶意行为对系统的破坏。 libselinux-2.5-14.1的更新版本可能包含了修复漏洞、增加新功能以及提高性能和稳定性的改进。因此,及时更新libselinux-2.5-14.1是保持系统安全和稳定运行的重要一环。 总结来说,libselinux-2.5-14.1是SElinux项目的一个库版本,提供了SElinux的核心功能和API。它在Linux系统上加强了访问控制策略,提高了系统的安全性,并保护了系统和应用程序免受恶意操作和攻击。保持及时更新可以确保系统的安全和稳定运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值